ModeloRAT-Trojaner: Neue Angriffswelle über Microsoft Teams

Hacker nutzen Microsoft Teams gezielt für Cyberangriffe auf Unternehmen – die Schadsoftware ModeloRAT verbreitet sich rasant.

Eine ausgeklügelte Angriffswelle erschüttert derzeit die Unternehmens-IT. Sicherheitsforscher haben eine Bedrohungsgruppe namens KongTuke identifiziert, die Microsoft Teams als Einfallstor für den ModeloRAT-Trojaner missbraucht. Die Kampagne fällt in eine Phase massiver Umstellungen im Microsoft-365-Ökosystem – mit mehreren technischen Störungen und dem bevorstehenden Auslaufen alter Funktionen.

Microsoft verschärft mit kommenden Updates die Systemvoraussetzungen drastisch, was viele aktuelle PCs vor Probleme stellt. Ein legaler Trick enthüllt jedoch, wie Sie das Upgrade trotz Kompatibilitätsprüfung in wenigen Minuten erfolgreich durchführen. Den legalen Windows-11-Trick jetzt gratis entdecken

So funktioniert der Angriff

Die Hacker setzen auf Social Engineering: Sie geben sich über Teams-Chats als IT-Support-Mitarbeiter aus und fordern die Opfer auf, bestimmte PowerShell-Befehle auszuführen – angeblich für Wartungsarbeiten. Was dann passiert, ist ein mehrstufiger Infektionsprozess.

Der PowerShell-Befehl lädt ein ZIP-Archiv mit dem Namen WPy64-31401 in das AppData-Verzeichnis des Nutzers herunter. Darin versteckt sich eine WinPython-Umgebung, die über die ausführbare Datei pythonw.exe die eigentliche Schadsoftware startet. ModeloRAT ist hochinvasiv: Es sammelt Systemdaten, macht Screenshots und entwendet vertrauliche Dateien.

Um dauerhaft im System zu bleiben, manipuliert der Trojaner Registry-Schlüssel und legt Autostart-Verknüpfungen an. Besonders perfide: Eine getarnte geplante Aufgabe – häufig unter Namen wie „SoftwareProtection" – startet den Schädling alle fünf Minuten neu. Die Angreifer nutzen mindestens fünf verschiedene Microsoft-365-Mandanten, um ihre Infrastruktur zu verbergen.

Obwohl Microsoft den Support für ältere Systeme beendet, müssen Sie nicht zwingend in teure neue Hardware investieren. Die kostenlose PDF-Anleitung zeigt Ihnen Schritt für Schritt, wie Sie Windows 11 auf offiziell inkompatiblen Geräten ohne Datenverlust installieren. Hier kostenlose PDF-Anleitung für inkompatible PCs sichern

Sicherheitsexperten empfehlen Unternehmen dringend, die externe Teams-Föderation einzuschränken und PowerShell-Aktivitäten streng zu überwachen.

Technische Pannen belasten die Plattform

Die ModeloRAT-Kampagne trifft Teams in einem denkbar schlechten Zustand. Aktuelle Störungsmeldungen vom 15. Mai 2026 dokumentieren mehrere Beeinträchtigungen. Ein Problem: Der Teams-Desktop-Client startet nicht, wenn der Benutzername Sonderzeichen wie Umlaute oder Akzente enthält. Auch eingehende Anrufe zeigen dann fehlerhafte Zeichen an.

In Fachforen häufen sich Beschwerden über Audio- und Videoprobleme. Mikrofone bleiben stummgeschaltet, Kameras werden blockiert, und in Remote-Desktop-Umgebungen wie Chrome Remote Desktop oder RustDesk versagt die Tonübertragung regelmäßig. Besonders AirPods-Nutzer berichten, dass ihre Bluetooth-Kopfhörer direkt nach dem Beitritt zu einer Besprechung den Ton verlieren.

Das Tahoe-26.5-Update brachte zudem Datei-Download-Fehler, Login-Schleifen und Probleme mit Webinar-Registrierungsfenstern. Zwar wurden einige Störungen – etwa bei Yealink-Android-15-Geräten – Anfang Mai behoben, doch die hohe Zahl offener Support-Anfragen spricht für eine Phase erhöhter Instabilität.

Abschied von Together Mode

Mitten in diesen Turbulenzen treibt Microsoft den strategischen Umbau von Teams voran. Am 30. Juni 2026 wird die Funktion Together Mode endgültig eingestellt. Alle vorhandenen Szenen, benutzerdefinierten Umgebungen und Sitzplatzordnungen werden gelöscht.

Der Schritt ist Teil einer Konsolidierung: Microsoft will die Entwicklungsressourcen auf die Gallery-Erfahrung konzentrieren. Geplante Verbesserungen umfassen Super-Resolution, erweiterte Rauschunterdrückung und bessere Farbgenauigkeit. Entwickler müssen sich ebenfalls anpassen: Das Bot Framework SDK gilt seit Ende 2025 als veraltet, Microsoft empfiehlt die Migration zum aktuellen Teams SDK. Auch das SharePoint Framework (SPFx) wurde mit Version 1.23 aktualisiert.

Treiber-Management wird automatisiert

Um die Stabilität des Gesamtsystems zu verbessern, hat Microsoft auf der WinHEC 2026 die Driver Quality Initiative (DQI) vorgestellt. Sie soll veraltete oder instabile Treiber aus dem Windows-Update-Katalog entfernen und strengere Zertifizierungsprozesse durchsetzen. Vier Säulen stehen im Fokus: Architekturverbesserungen zur Begrenzung des Kernel-Zugriffs, stärkeres Vertrauen durch Zertifizierung, Entfernung von Legacy-Software sowie verbesserte thermische Effizienz.

Parallel dazu rollt Microsoft die Funktion Cloud-Initiated Driver Recovery (CIDR) aus. Nach einer Testphase im Mai 2026 folgt ab September der breite Einsatz. CIDR erkennt fehlerhafte Treiber-Updates automatisch und setzt sie zurück – auf die letzte stabile Version oder eine validierte Korrektur. Kein manueller Eingriff nötig. Die Funktion ist eine direkte Reaktion auf die großflächigen Systemausfälle des Jahres 2025 und soll die berüchtigten „Downgrade-Loops" verhindern.

Ausblick für Unternehmen

Die Kombination aus gezielten Malware-Kampagnen und tiefgreifenden Plattform-Wechseln stellt IT-Abteilungen vor enorme Herausforderungen. Während die Frist für die Abschaltung von Together Mode näher rückt, müssen Unternehmen gleichzeitig ihre Belegschaft gegen ModeloRAT schützen.

Die für das dritte Quartal 2026 erwartete Windows-11-Version 26H1 wird zudem höhere Hardware-Anforderungen mitbringen: 16 Gigabyte RAM und spezielle NPU-Fähigkeiten. Diese Änderungen, kombiniert mit CIDR und DQI, sind Teil von Microsofts Langzeitstrategie, die Umgebung gegen technische Ausfälle und böswillige Angriffe zu wappnen. Kurzfristig aber zeigt der aktuelle Social-Engineering-Angriff über Teams-Chats: Die beste Firewall bleibt der geschulte Mitarbeiter.

de | wissenschaft | 69344043 |